Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter Systeme eingeführt. Risikomanagement war zwar keine neue Disziplin und Technik in diesem Bereich, GAMP 5 ging jedoch einen deutlichen Schritt weiter als bisher: Er griff aktuelle Trends der Healthcare Industrie auf und setzte sie konsequent in die Validierungspraxis um. Heute sind die Methoden und Vorgehensweisen wie sie im GAMP 5 beschrieben werden, längst gelebte Praxis. Die aktuelle Herausforderung in der Validierung besteht darin, Compliance und Risiken in heterogenen Organisationen mit einer Vielzahl von Computersystemen effizient zu managen. IT Compliance und Risikomanagement Ziel der Validierung computergestützter Systeme ist sicherzustellen, dass mit ihrem Betrieb keine Risiken für die Patienten, die Qualität der Produkte oder die Integrität der Daten bestehen. Dabei ist die Validierung computergestützter Systeme auf Grund von GxP-Anforderungen für die meisten Unternehmen nur eine von vielen Anforderungen, die an IT Compliance gestellt werden. Neben GxP bestehen weitere Anforderungen, die von den Betreibern der IT Systeme erfüllt werden müssen, z.b. Datenschutz, z.b. Umgang mit personenbezogenen Daten Gesetzliche Anforderungen, z.b. SOX Informationssicherheit, z.b. ISO 27000 Unternehmensinterne Compliance, z.b. von Quality Management und Internal Audit Neben anderen Neuerungen gegenüber der Vorgängerversion GAMP 4 von 2001 betont GAMP 5 wesentlich stärker die folgenden Aspekte der Validierung: Fokussierung auf das Risiko für den Patienten Integration der Validierungsaktivitäten in ein Qualitätsmanagement-System Stärkere Einbeziehung des Lieferanten in die Validierungstätigkeiten Integriertes Risikomanagement in allen Lebenzyklusphasen 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 1 of 6
Risikomanagement, wie auch im GAMP 5 gefordert, trägt dazu bei, Compliance- Anforderungen fokussiert und effizient zu erfüllen. GAMP 5 schlägt einen fünfstufigen Risikomanagement-Prozess vor (GAMP 5, Appendix M3 Science Based Quality Risk Management), wobei sich dieser Artikel im Wesentlichen auf die letzten beiden Schritten des Prozesses fokussiert: Abbildung 1: GAMP 5 Risikomanagement-Prozess Auf Basis der Compliance-Frameworks (z.b. GxP, SOX, etc.) und einer entsprechenden Risikoanalyse werden Kontrollen definiert, die sicherstellen, dass die identifizierten Risiken regelmäßig überprüft und überwacht werden. Im klassischen Ansatz werden diese Kontrollen für alle Compliance-Frameworks separat eingeführt und überwacht: Abbildung 2: Risikomanagement für unterschiedliche Compliance-Anforderungen 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 2 of 6
Eine Vielzahl der Kontrollen kommt allerdings mehr oder weniger identisch in den unterschiedlichen Compliance-Frameworks (GxP, SOX, etc.) vor, so dass diese in verschiedenen Zyklen mehrfach überprüft werden. So taucht beispielsweise die Einführung und Pflege eines Änderungsprozesses als Kontrolle in fast allen Compliance-Anforderungen auf. Dazu kommt, dass sich viele Kontrollen auf Prozesse beziehen, die wiederum für eine Vielzahl von Computersystemen gelten, z.b. der Änderungsprozess. Schlussfolgernd kann man also feststellen, dass wir entsprechende Risikomanagementprozesse zwar weitestgehend eingeführt haben, diese aber durch eine Vielzahl von Compliance-Anforderungen und Anwendung auf zahlreiche IT- Systeme redundant und mit erheblichem Aufwand in der Gesamtorganisation umsetzen. Das führt in der Regel zu einem hohen, aber unnötigen Mehraufwand für die Definition und Durchführung der Kontrollen. Es kann sogar zu widersprüchlichen Bewertungen einzelner Kontrollen kommen, da diese über die verschiedenen Frameworks nicht vereinheitlicht sind und daher von den Fachabteilungen unterschiedlich bewertet werden. Mangelnde Transparenz über den tatsächlichen Compliance-Status innerhalb der Organisation tun dann ihr übriges, dass das System hinter den Erwartungen zurückbleibt. Die gewünschte Compliance wird zwar erreicht, aber nur mit erheblichem Kostenaufwand und dem Risiko, dass es bei Audits und Inspektionen auf Grund der Unübersichtlichkeit zu unangenehmen Überraschungen kommt. Integriertes Risikomanagement Eine Lösung, diese Risikomanagementprozesse auf effiziente Weise in der Gesamtorganisation umzusetzen, ist die Einführung eines integrierten Risikomanagements: Abbildung 3: Integriertes Risikomanagement 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 3 of 6
Statt Kontrollen für jede Compliance-Anforderung separat zu definieren und überwachen, werden die Kontrollen in einem vereinheitlichten System zusammengefasst. Herausforderungen eines solchen integrierten Risikomanagements sind, dass Kontext und Zeitpunkt der Anforderungen nicht einheitlich sind, z.b. die SOX-Kontrollen werden zu einem anderen Zeitpunkt und ggf. anderen Organisationseinheiten geprüft als die GxP-Anforderungen. Der integrierte Ansatz erfordert eine gewisse Abstraktion der Kontrollen, damit diese für alle Compliance-Frameworks gültig sind. Diese notwendige Abstraktion könnte zu unterschiedlichen Interpretationen in den verschiedenen Organisationseinheiten des Unternehmens führen. Auf der anderen Seite erlaubt der integrierte Ansatz eine einheitliche unternehmensweite Basis der Kontrollen und damit eine erhebliche Reduktion des Aufwandes. Gleichzeitig wird die Vergleichbarkeit der Ergebnisse über Organisations- und Systemgrenzen hinweg ermöglicht und die erforderliche Transparenz hergestellt. In der praktischen Umsetzung definiert man zunächst die Kontrollen der verschiedenen Frameworks und vereinheitlicht jene Kontrollen, die in mehren Frameworks auftauchen. In allen Frameworks GxP, Sox,...) wird z.b. die Definition und Anwendung eines Änderungsprozesses erwartet. Tool-Unterstützung Um die Kontrollen effizient zu managen, steht im einfachsten Fall Microsoft Excel als Tool zur Verfügung. Excel bietet sich für Organisationen an, die nur wenige Applikationen auf Compliance prüfen müssen. Sobald man eine größere Anzahl von Applikationen managen muss oder Ergebnisse über Organisationsgrenzen hinweg konsolidieren möchte, wird der Aufwand bei der Verwendung von Excel enorm hoch, bzw. ist nicht mehr durchführbar. Eine Alternative zu Excel stellen Datenbankanwendungen dar, die auf Risk & Compliance Management spezialisiert sind. Diese bieten gegenüber Excel den Vorteil, dass der gesamte Risikomanagement Workflow in einem integrierten Tool abgebildet wird: Definieren der Assessments und Kontrollen Durchführen der Assessments und Bewerten der Kontrollen Identifizieren der Compliance-Abweichungen Bewerten der Risiken Steuern und überwachen der Maßnahmen zur Risikominimierung Ein weiterer Vorteil besteht darin, dass entsprechende Berichte und Management- Dashboards integriert sind und nicht mühsam aus einer Vielzahl von Excel-Tabellen gebildet werden müssen: 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 4 of 6
Abbildung 4: Dashboard des Risikomanagement- Tool (RicoLution) Wenn man die Assessments jährlich durchführt (Stichwort Periodic Review, GAMP 5 Appendix O8), erlaubt ein Tool Zugriff auf die Historie aller bisher durchgeführten Assessments. Damit lassen sich Trends schnell erkennen und Verbesserungspotenzial einfach identifizieren. Mit Excel wäre das in dieser Form nicht möglich. Das angewendete Compliance-Framework ist in der Regel bei diesen Tools vielseitig einsetzbar, d.h. sie sind nicht auf das Compliance- und Risikomanagement für IT Systeme beschränkt und können z.b. auch für das Management von GMP- Compliance und Risiken eingesetzt werden. Fazit Wenn es um eine Vielzahl von Prozessen und IT Anwendungen geht, wird der klassische Ansatz Compliance und Risiken zu managen, extrem aufwändig oder sogar undurchführbar. Integriertes Risikomanagement ist eine Lösung, um Compliance-Anforderungen in Unternehmen mit komplexen Organisationsstrukturen und vielen IT Anwendungen zu erfüllen. Der Einsatz geeigneter Tools gewährleistet den Blick von oben und die notwendige Transparenz, sowie ein effizientes Management der Kontrollen und Compliance-Assessments auch über Organisationsgrenzen hinweg. 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 5 of 6
Literaturhinweise 1. GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems ISPE 2008 2. GAMP Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems ISPE 2009 3. GMP Berater Online Maas & Peither AG GMP-Verlag 4. GAMP 5 Risk-Based Approach - Risiken global managen Vortrag auf der Vision Pharma 2012, Karlsruhe Thomas Halfmann Autor Thomas Halfmann Partner der Unternehmensberatung Halfmann Goetsch Peither AG, Schweiz, Deutschland, Singapur 2012 HGP AG, CH-Basel, Alle Rechte vorbehalten Page 6 of 6